Что такое управление данными и состояние безопасности

Обновлено: 24.11.2024

В результате Intel® Management Engine может стать полностью функционирующим компонентом, как только в систему подается питание. Эта возможность позволяет ему отвечать на OOB-команды с консоли управления ИТ без необходимости пробуждения остальной системы. Таким образом, энергопотребление значительно снижается.

Можно ли удалить Intel Management Engine?

Удаление Intel Management Engine безопасно, это не должно плохо повлиять на вашу систему.

Что делает программа установки компонентов Intel Management Engine?

Этот драйвер устанавливает интерфейс Intel Management Engine, драйвер Serial Over LAN, локальную службу управления, Intel Converged Security and Manageability Engine (CSME), поставщика Windows Management Instrumentation (WMI), приложение Intel Management & Security Status и службу лицензирования возможностей Intel. Клиент.

Можно ли отключить компоненты Intel Management Engine?

Intel ME нельзя отключить. Сопроцессор Intel ME и программное обеспечение продолжают работать, даже если вы отключите функции Intel AMT в BIOS. Intel не предоставляет способа отключить эту функцию, поэтому на данный момент она включена во все процессоры Intel.

Должен ли я установить Intel SGX?

Как правило, Intel SGX не следует отключать ни при каких обстоятельствах. Если вы планируете использовать Intel SGX для защиты своих приложений и конфиденциальных данных, следует полностью избегать отключения, поскольку отключение не обеспечивает никакой защиты приложений или данных.

Что делает управление Intel и состояние безопасности?

"Значок Intel® Management and Security Status указывает, работают ли на платформе технологии Intel® Active Management, Intel® Standard Manageability и Intel® Anti-Theft.

Является ли Intel Management Engine лазейкой?

Intel Management Engine подвергался критике за риски безопасности и был назван многими экспертами и исследователями в области безопасности бэкдором с возможностями руткита.

Что такое приложение Intel для управления и обеспечения безопасности?

Описание. «Значок Intel® Management and Security Status указывает, работают ли на платформе технологии Intel® Active Management, Intel® Standard Manageability и Intel® Anti-Theft. Значок находится в области уведомлений.

Как использовать Intel Management Engine?

Intel предлагает средство обнаружения, которое вы можете скачать и запустить, чтобы узнать, уязвим ли Intel ME вашего компьютера или он был исправлен. Чтобы использовать этот инструмент, загрузите ZIP-файл для Windows, откройте его и дважды щелкните файл «DiscoveryTool. Папка GUI». Дважды щелкните файл «Intel-SA-00086-GUI.exe», чтобы запустить его.

Что такое управление и безопасность Intel?

Следует ли отключить SGX?

Влияет ли SGX на производительность?

(5) SGX сильно снижает производительность при переключении между приложением и анклавом: от 10 000 до 18 000 циклов на вызов в зависимости от используемого механизма вызова. Это наказание влияет на серверные приложения, использующие SGX, как описано в [3, 45].

Что делает микропрограмма Intel Management Engine?

По словам Intel, Management Engine – это "небольшая компьютерная подсистема с низким энергопотреблением". Он «выполняет различные задачи, пока система находится в спящем режиме, во время процесса загрузки и когда ваша система работает». Другими словами, это параллельная операционная система, работающая на изолированном чипе, но имеющая доступ к оборудованию вашего ПК.

Нужен ли Intel SGX?

Когда использовать Intel SGX? Intel SGX — отличный инструмент для любого контекста, где конфиденциальность вычислений является обязательной. Поскольку эта технология является родной для процессоров с поддержкой SGX, ее может использовать любой, кому нужен дополнительный уровень безопасности.

Должен ли быть включен SGX в BIOS?

Для Intel SGX требуется поддержка BIOS, чтобы обеспечить возможность включения и настройки функции Intel SGX в системе. Владелец системы должен выбрать Intel SGX, включив его через BIOS.

Должен ли я отключить SGX?

Используемая вами версия браузера не рекомендуется для этого сайта.
Рассмотрите возможность обновления вашего браузера до последней версии, нажав одну из следующих ссылок.

Технология Intel® Active Management: Заявление о конфиденциальности Последнее обновление: 12.08.2021

Корпорация Intel стремится защищать вашу конфиденциальность. В этом заявлении описывается, какие функции и возможности, связанные с конфиденциальностью, обеспечивает технология Intel® Active Management (Intel® AMT), что разрешает и не разрешает Intel AMT ИТ-администраторам, а также указываются типы данных, которые Intel AMT хранит в системе пользователя. Это заявление является дополнением к Уведомлению Intel о конфиденциальности в Интернете и относится только к Intel AMT.

Что такое Intel AMT?

Intel AMT обеспечивает удаленную внеполосную (OOB) поддержку и управление сетевыми компьютерными системами на предприятии уполномоченными ИТ-администраторами.

Какие потенциальные проблемы с конфиденциальностью возникают из-за Intel AMT?

Возможности удаленного управления предоставляются поставщиками программного обеспечения и уже давно используются ИТ-отделами многих организаций.

Однако Intel AMT позволяет ИТ-администраторам удаленно поддерживать и управлять компьютером пользователя, даже если пользователь отсутствует или выключил компьютер.

Как пользователь может определить, включен ли в системе Intel AMT?

Корпорация Intel разработала значок на панели задач, чтобы обеспечить прозрачность и уведомление конечного пользователя о текущем состоянии Intel AMT. В настоящее время стандартное программное обеспечение Intel AMT включает в себя приложение Intel® Management and Security Status (IMSS) и значок на панели задач, которые устанавливаются вместе с драйверами и службами. Значок IMSS на панели задач отображает текущее состояние Intel AMT в системе (включено или отключено), а также содержит инструкции по включению/отключению возможностей Intel AMT. Intel рекомендует каждому производителю оригинального оборудования (OEM) загружать приложение IMSS. Тем не менее OEM-производители могут принять решение не выполнять эту рекомендацию Intel, и, кроме того, ИТ-менеджеры конечных заказчиков могут удалить приложение IMSS перед предоставлением систем с поддержкой Intel AMT конечным пользователям. В зависимости от реализации OEM пользователи также могут проверить состояние Intel AMT в системной BIOS своего компьютера. Однако важно отметить, что ИТ-отделы некоторых предприятий могут не предоставлять пользователям требуемый доступ к системной BIOS, необходимый для включения/отключения Intel AMT или проверки состояния Intel AMT.

Какую личную информацию Intel AMT собирает у пользователя?

Intel AMT не собирает личную информацию (например, имя, адрес, номер телефона и т. д.) от пользователя.

Какую информацию Intel AMT отправляет в корпорацию Intel и как эта информация используется?

Intel AMT не отправляет данные в корпорацию Intel.

Какой тип информации хранит Intel AMT?

Intel AMT хранит информацию во флэш-памяти на системной плате. Эта информация включает код встроенного ПО, данные инвентаризации оборудования (например, объем памяти, тип ЦП, тип жесткого диска), журнал событий, в который записываются события платформы (например, нагрев ЦП, отказ вентилятора, сообщение BIOS POST), Intel AMT. события безопасности (например, предупреждение об атаке на пароль Intel AMT или срабатывание фильтра System Defense), а также данные конфигурации Intel AMT (например, сетевые настройки, списки контроля доступа и универсальные уникальные идентификаторы (UUID), включая инициализацию данные, MAC-адрес локальной сети, ключи, пароли клавиатуры, видео и мыши (KVM), сертификаты безопасности транспортного уровня (TLS) и профили беспроводной сети, настроенные ИТ-специалистами). Все данные конфигурации, которые считаются конфиденциальными, хранятся в зашифрованном виде на флэш-памяти. Дополнительную информацию об UUID можно найти в разделе ниже.

Intel AMT версии 11.0 и более ранние позволяют зарегистрированным приложениям независимых поставщиков программного обеспечения (ISV) хранить данные в области репозитория флэш-памяти, известной как стороннее хранилище данных (3PDS). Начиная с Intel AMT версии 11.6, эта функция была заменена функцией размещения веб-приложений, которая позволяет Intel AMT размещать веб-приложения в энергонезависимой памяти (NVM), которой Intel AMT управляет локально на клиентской платформе.

Несмотря на то, что Intel сообщает своим независимым поставщикам программного обеспечения о том, что, по ее мнению, является наилучшими методами обеспечения конфиденциальности для ответственного управления данными, в конечном итоге Intel не определяет, какие данные могут храниться в этой области флэш-памяти, и не поддерживает методы шифрования для независимых поставщиков программного обеспечения. данные. Поэтому ISV рекомендуется шифровать свои данные перед их сохранением на флэш-памяти, если они считают свои данные конфиденциальными. Если у вас есть опасения по поводу потенциального риска для конфиденциальности из-за данных, хранящихся здесь, обратитесь к соответствующему стороннему разработчику программного обеспечения для получения дополнительных сведений о типе информации и веб-приложений, которые они хранят в NVM, и о том, как они защищены.

Как Intel AMT использует UUID?Какие функции UUID включают и не включают на платформах с поддержкой Intel AMT?

Универсальные уникальные идентификаторы (UUID) — это артефакты, используемые Intel AMT для ряда целей, включая процесс подготовки, безопасность системы (например, пароли, ключи и сертификаты TLS), а также для обеспечения того, чтобы ИТ-администраторы могут точно подключаться и управлять системой конкретного пользователя в рамках предприятия.

Платформы Intel VPRO поставляются с постоянным UUID, который называется Intel Unique Platform ID (UPID), чтобы обеспечить возможность использования в случаях, требующих постоянного UUID, например для автоматической подготовки. Функциональность UPID зависит от реализации OEM. UUID присутствуют практически на всех современных ПК и обычно устанавливаются OEM-производителями на всех платформах, независимо от Intel AMT. Действительно, UUID в настоящее время используются приложениями, установленными на многих ПК, для выделения уникальной системной информации для обеспечения ожидаемых функций, таких как доставка обновлений ОС или системы защиты от вирусов. Intel AMT использует платформенные UUID очень похожим образом — основное отличие состоит в том, что для того, чтобы Intel AMT мог получить доступ к UUID OOB, UUID копируется в репозиторий флэш-памяти.

Какой тип информации отправляет по сети технология Intel® Active Management (Intel® AMT)?

Intel AMT может отправлять данные по сети IPV4 или IPV6 и соответствует расширениям конфиденциальности RFC 3041.

Какую идентифицирующую информацию технология Intel® Active Management (Intel® AMT) предоставляет в сети?

Что позволяет Intel AMT делать ИТ-администратору, прошедшему проверку подлинности?

Разрешает ли Intel AMT ИТ-администратору, прошедшему проверку подлинности, доступ к локальным жестким дискам пользователя?

Во время сеанса удаленного управления ИТ-администратор имеет доступ к локальным жестким дискам пользователя. Это означает, что ИТ-администратор может читать/записывать файлы с жесткого диска пользователя, например, для восстановления системы пользователя путем восстановления или переустановки неисправного приложения или ОС. Intel AMT поддерживает две функции, которые помогают снизить потенциальные риски для конфиденциальности, связанные с предоставлением ИТ-администраторам доступа к этому типу информации: IMSS и ведение журнала аудита. Возможности ведения журнала аудита обеспечивают уровень подотчетности администратора, регистрируя случаи доступа ИТ-администратора к пользовательским системам через Intel AMT. Однако то, какие события регистрируются, определяет аудитор, которым на предприятии обычно не является пользователь. Хотя Intel рекомендует своим клиентам, что удаленный доступ к системе Intel AMT является типом информации, которая должна регистрироваться, возможно, что эта информация не будет доступна пользователям в некоторых корпоративных средах. Информация о том, как IMSS может предоставлять пользователям уведомления о случаях, когда ИТ-администраторы получили доступ к их системе, приведена ниже.

Позволяет ли Intel AMT KVM Redirection аутентифицированному ИТ-администратору удаленно управлять ПК пользователя, как если бы он физически сидел за клавиатурой?

Во время сеанса удаленного управления с перенаправлением KVM ИТ-администратор имеет контроль над ПК пользователя, как если бы он сидел за клавиатурой. Что касается сеанса перенаправления KVM, Intel AMT включает требование о том, что сеанс KVM не может быть запущен без явного согласия пользователя, известного как согласие пользователя KVM. Чтобы обеспечить согласие пользователя на участие в сеансе перенаправления, на экране пользователя отображается безопасное окно вывода («спрайт») поверх любого другого окна, в котором пользователю предлагается зачитать ИТ-администратору случайно сгенерированное число. Сеанс KVM начнется только в том случае, если ИТ-администратор введет правильный номер сеанса. После запуска действительного сеанса KVM весь экран пользователя будет окружен мигающей красной и желтой рамкой, что указывает на то, что ИТ-администратор находится в процессе сеанса исправления KVM. Эта мигающая красная и желтая рамка будет сохраняться до тех пор, пока сеанс активен. Обратите внимание, что согласие пользователя KVM является обязательным, когда система Intel AMT находится в режиме управления клиентом, но необязательным в режиме управления администратором.

В соответствии с настройками OEM функции SOL/IDER или KVM в Intel AMT включаются или отключаются в BIOS или в расширении BIOS Intel® Management Engine (Intel® MEBX). Требование для согласия KVM может быть изменено ИТ-администратором через настройки BIOS или настройки конфигурации Intel AMT. Intel рекомендует использовать обязательство согласия пользователя для сохранения его конфиденциальности.

Как пользователь может узнать, получил ли ИТ-администратор доступ к системе через Intel AMT?

Значок IMSS на панели задач включает и поддерживает уведомления пользователей о нескольких событиях, в том числе о том, получает ли или уже получил ли ИТ-администратор доступ к своей системе посредством открытия/закрытия сеанса удаленного перенаправления (т. е., SOL/IDER), а также активацию System Defense и удаленную загрузку системы пользователя ИТ-администратором. Кроме того, во время активного сеанса удаленного перенаправления в правом верхнем углу экрана появится мигающий значок. Однако события, которые фактически активируются IMSS в корпоративных условиях, определяются ИТ-администратором, а не пользователем. Хотя корпорация Intel рекомендует предприятиям, развертывающим системы Intel AMT, включить уведомления IMSS, упомянутые в этом абзаце, возможно, что информация об удаленных подключениях к системе Intel AMT не обязательно будет доступна всем пользователям.

Как пользователь может очистить всю конфигурацию Intel AMT и личные данные?

Intel AMT предоставляет параметры BIOS для частичного или полного отключения системы Intel AMT. Корпорация Intel рекомендует конечным пользователям полностью отменить инициализацию системы перед перепродажей/утилизацией и убедиться, что Intel AMT полностью не инициализирован, если вы покупаете бывшую в употреблении систему с поддержкой Intel AMT.

Обновления заявления о конфиденциальности

Мы можем время от времени обновлять это заявление о конфиденциальности. Когда мы это сделаем, мы изменим дату последнего обновления в верхней части заявления о конфиденциальности.

Для получения дополнительной информации

Если у вас есть какие-либо вопросы или вам нужна дополнительная информация об этом дополнении о конфиденциальности, воспользуйтесь этой формой, чтобы связаться с нами.

Компьютеры производства Intel управляются удаленно с помощью этой системы. В этом нет необходимости, если вы не знаете, что это такое. Кроме того, его можно использовать для мониторинга и разгона программ (чаще всего программ производителей материнских плат) для изменения и мониторинга UEFI («биос») непосредственно из операционной системы Windows.

Что делают компоненты Intel Management Engine?

Компоненты управления Intel отслеживают установленное оборудование Intel, например наборы микросхем, системы хранения и другие компоненты. Они уведомят вас о проблемах, обновленных драйверах и другой информации об этих компонентах. Это компоненты, которые обычно устанавливаются производителем компьютера.

Является ли Intel Management Engine лазейкой?

Можно ли отключить компоненты Intel Management Engine?

Должен ли я установить Intel Management Engine?

Это система расширенного удаленного администрирования компьютеров от Intel. Если вы не знаете, что это такое, то вам это не нужно. Он также может использоваться программами мониторинга и разгона (чаще всего программами производителей материнских плат) для изменения и мониторинга UEFI («биос») непосредственно из Windows.

Что делает управление Intel и состояние безопасности?

Что такое управление и безопасность Intel?

Что такое Intel Management Engine Reddit?

Intel Management Engine Interface — это драйвер/программное обеспечение, взаимодействующее с подсистемой Intel Management Engine, встроенной в процессоры Intel. В основном интерфейс Intel ME помогает Windows общаться с процессором. Особенно, если вы хотите использовать некоторые функции разгона или понижения напряжения утилиты Intel XTU, вам понадобится Intel ME.

Что делает микропрограмма Intel Management Engine?

Что такое состояние управления и безопасности Intel?

"Значок Intel® Management and Security Status указывает, работают ли на платформе технологии Intel® Active Management, Intel® Standard Manageability и Intel® Anti-Theft. Значок находится в области уведомлений.

Как отключить управление Intel и состояние безопасности?

В BIOS функция расширенного набора микросхем -> Intel AMT (включено, отключено)
CTRL+P, чтобы перейти в меню AMT (состояние управления Intel ME (включено, отключено)
В зависимости от модели HP (Hewlett-Packard) проверьте в BIOS: «Дополнительно» > «Параметры удаленного управления» > «Активное управление» / «Отменить настройку AMT при следующей загрузке».

Должен ли я установить механизм управления Intel?

Является ли механизм управления Intel драйвером набора микросхем?

Intel Management Engine (ME), также известный как Intel Manageability Engine, представляет собой автономную подсистему, которая с 2008 года используется практически во всех процессорных наборах микросхем Intel. Она расположена в концентраторе контроллера платформы современных материнских плат Intel.

Как отключить технологию управления Intel Active?

В BIOS функция расширенного набора микросхем -> Intel AMT (включено, отключено)
CTRL+P, чтобы перейти в меню AMT (состояние управления Intel ME (включено, отключено)
В зависимости от модели HP (Hewlett-Packard) проверьте в BIOS: «Дополнительно» > «Параметры удаленного управления» > «Активное управление» / «Отменить настройку AMT при следующей загрузке».

Можно ли удалить технологию активного управления Intel?

Для отключения: в BIOS выберите функцию Advanced Chipset ->Intel AMT (включено,отключено) CTRL+P, чтобы перейти в меню AMT (состояние управления Intel ME (включено,отключено). В зависимости от модели HP (Hewlett-Packard) установите флажок BIOS: «Дополнительно» > «Параметры удаленного управления» > «Активное управление» / «Отменить настройку AMT при следующей загрузке».

Как отключить BIOS Intel Management Engine?

Отключить контроль состояния Intel Management Engine

Выберите в меню Общие настройки Intel ME.
Выберите в меню пункт Intel ME State Control.
Выберите «Отключить».
Выберите «Назад» в меню.

Должен ли я установить Intel SGX?

Должен ли я отключить технологию управления Intel Active?

Отключить AMT Тем временем Intel рекомендует отключить технологию активного управления. Если вы опытный пользователь, Intel предлагает подробное руководство по смягчению последствий, которое вы можете использовать. Если вы не готовы к этому, инструмент Bartblaze Disable Intel AMT автоматизирует этот процесс.

сообщить об этом объявлении

С 2008 года большинство наборов микросхем Intel содержат крошечный компьютер-гомункул, который называется "Механизм управления" (ME). ME — это по большей части недокументированный мастер-контроллер для вашего ЦП: он работает с системной прошивкой во время загрузки и имеет прямой доступ к системной памяти, экрану, клавиатуре и сети. Весь код внутри ME является секретным, подписанным и строго контролируется Intel. На прошлой неделе уязвимости в модуле Active Management (AMT) в некоторых модулях управления сделали множество компьютеров с процессорами Intel катастрофически уязвимыми для удаленных и локальных злоумышленников. Хотя AMT можно отключить, в настоящее время нет способа отключить или ограничить механизм управления в целом. Корпорация Intel срочно должна предоставить его.

В этом посте будет описана природа уязвимостей (спасибо Мэтью Гарретту за их тщательное документирование) и возможность появления подобных ошибок в будущем. EFF считает, что Intel необходимо обеспечить минимальный уровень прозрачности и контроля пользователей над модулями управления внутри наших компьютеров, чтобы предотвратить повторение этой катастрофы с кибербезопасностью. Если этого не произойдет, мы обеспокоены тем, что использование ЦП Intel во многих критически важных инфраструктурных системах может оказаться нецелесообразным.

Что такое АМТ? Насколько он уязвим?

На многих чипах Intel Management Engine поставляется с установленным модулем AMT. Он предназначен для того, чтобы позволить системным администраторам удаленно управлять машинами, используемыми организацией и ее сотрудниками. Уязвимость, о которой было объявлено 1 мая, позволяет злоумышленнику обойти аутентификацию по паролю для этого модуля удаленного управления. Это означает, что во многих ситуациях удаленные злоумышленники могут получить те же возможности, что и ИТ-отдел организации, если активное управление было включено и подготовлено1.

Получив доступ к AMT, злоумышленники могут взаимодействовать с экраном или консолью так, как если бы пользователь делал это сам. Злоумышленники также могут загружать произвольные операционные системы, устанавливать новую операционную систему и (при определенных усилиях) красть пароли шифрования дисков.2

Не каждая машина подвержена атаке. Чтобы он работал, AMT должен быть как включен, так и инициализирован (обычно AMT включен, но не подготовлен по умолчанию). После инициализации AMT имеет установленный пароль, прослушивает сетевые пакеты и будет управлять системой в ответ на них.3 Он может быть настроен по умолчанию, если поставщики использовали функцию «Удаленная настройка» в OEM Setup, пользователем с административным доступом, в интерактивном режиме или с помощью USB-накопителя во время загрузки системы или (через уязвимость LMS) непривилегированными пользователями в Windows системы с LMS. У Mac есть ME, но они вообще не поставляются с AMT. Защита паролем имеет решающее значение для машин с настроенным AMT, но обнаруженная на этой неделе уязвимость позволила обойти ее.

Как пользователи могут защитить себя?

Многим организациям необходимо предпринять шаги для собственной защиты, отключив AMT в BIOS и не установив LMS, или обновив микропрограмму Intel.
К сожалению, даже если AMT в настоящее время отключен, это не означает, что атака никогда не была возможна — злоумышленник мог отключить AMT после завершения атаки, чтобы закрыть дверь на пути к выходу.

К сожалению, AMT — это лишь одна из многих служб/модулей, предустановленных в Management Engine. Лучшая рекомендация, которую мы можем дать сегодня для устранения этой уязвимости, — отключить этот конкретный модуль AMT, потому что Intel не предоставляет никаких способов общего ограничения мощности ME. Но уязвимости в любом из других модулей могут быть такими же, если не хуже, для безопасности. Некоторые из других модулей включают аппаратный код аутентификации и систему для отслеживания местоположения и удаленной очистки ноутбуков в целях защиты от кражи. Хотя это может быть полезно для некоторых людей, владельцы оборудования должны решить, будет ли этот код установлен на их компьютерах или нет. Возможно, наиболее тревожным является то, что, как сообщается, также существует модуль DRM, который активно работает против интересов пользователя и никогда не должен устанавливаться в ME по умолчанию.

Для опытных пользователей на компьютерах без проверенной загрузки существует проект Github под названием ME clean, который можно использовать для отключения модуля управления. Но имейте в виду: использование этого инструмента может привести к поломке оборудования, и заинтересованные стороны должны проявлять осторожность, прежде чем пытаться защитить свои системы. Реальное решение потребует помощи Intel.

Что нужно сделать Intel, чтобы исправить этот беспорядок

Пользователям нужна свобода выбора того, что они хотят запускать в своей системе, и возможность удалять код, который может содержать уязвимости. Поскольку Management Engine запускает только модули кода, подписанные Intel, это означает наличие способа отключить ME или перепрошить его с помощью минимального, проверяемого микропрограммного обеспечения. Несмотря на то, что Intel может приложить много усилий для поиска ошибок в системе безопасности, уязвимости неизбежно будут существовать, и если они будут скрываться в низкоуровневом компоненте с высоким уровнем привилегий, не видимом для ОС или надежном журнале, это кошмар для оборонительной кибербезопасности. Выбор дизайна, заключающийся в размещении секретного, немодифицируемого чипа управления в каждом компьютере, был ужасным, и оставлять своих клиентов подверженными этим рискам без возможности отказа — акт крайней безответственности.

Что было бы лучше для пользователей и для возможности общественности контролировать машины, которые они приобрели, если бы Intel предоставила официальную поддержку для уменьшения поверхности атаки, чтобы ограничить потенциальный вред ME.

Поэтому мы призываем Intel:

Предоставьте четкую документацию по программным модулям, предустановленным на различных модулях управления. Какие команды HECI предоставляют полный список установленных модулей/служб? Каковы интерфейсы этих служб?
Предоставить своим клиентам возможность проверять код ME на наличие уязвимостей. В настоящее время это невозможно, поскольку код держится в секрете.
Предложите поддерживаемый способ отключения ME. Если это буквально невозможно, пользователи должны иметь возможность установить абсолютно минимальный образ прошивки ME, подлежащий проверке сообществом.
В системах, в которых ME является важным требованием для других функций безопасности, которые важны для некоторых пользователей (например, Boot Guard), предложите дополнительный вариант почти минимального образа микропрограммы ME, который можно проверить сообществом, который выполняет эти функции безопасности, и ничего больше. Или, в качестве альтернативы, поддерживаемый способ создания и прошивки образов встроенного ПО, при котором пользователь может проверять и контролировать наличие служб/модулей, чтобы управлять рисками безопасности, связанными с этими модулями.

Пока Intel не предпримет эти шаги, у нас есть основания опасаться, что незадокументированный главный контроллер внутри наших чипов Intel может оставаться источником серьезных уязвимостей в персональных компьютерах, серверах и критически важной кибербезопасности и физической инфраструктуре. Корпорация Intel должна действовать быстро, чтобы предоставить сообществу поддающееся проверке решение для этих угроз.

Исправление от 12 мая 2017 г. Корпорация Intel обратилась к нам с двумя исправлениями, касающимися сведений об этом сообщении.(1) Механизмы управления физически расположены не на самом кристалле ЦП, а в других частях наборов микросхем Intel; (2) локальное повышение привилегий на основе LMS было вторым последствием первой уязвимости кода, а не второй уязвимостью или собственной ошибкой. Мы соответствующим образом отредактировали формулировку этого поста в нескольких местах, но не думаем, что эти обновления повлияют на его выводы.

Читайте также: